ancres Divi

Comme tous les sites web, votre site vitrine ou votre blog WordPress n’échappe pas à la possibilité d’avoir une faille de sécurité. En effet, votre site peut être la cible de piratage informatique. Afin de protéger votre site Internet ou votre blog, il est indispensable d’effectuer des actions de sécurisation. Cette démarche est d’autant plus nécessaire si vous récoltez des données sensibles. Rassurez-vous, il n’est pas forcément nécessaire de faire appel à un webmaster ou à un développeur web pour se prémunir des attaques les plus courantes des hackers. En revanche, des connaissances peuvent être requises si vous souhaitez passer par le serveur ftp de votre site pour modifier certains fichiers comme le htaccess.

Mettre en place des plugins de sécurisation

Modifier la page de connexion

Lorsque vous installez votre site WordPress, votre URL de connexion est certainement votresite.fr/wp-admin.
Afin de rendre plus difficile l’accès à votre login page, il est fortement conseillé de renommer cette URL et cette partie wp admin. Pour cela, vous pouvez directement modifier votre fichier .htaccess. Sinon, plusieurs plugins simples et gratuits existent comme SF Move login. Grâce à lui, vous pouvez personnaliser votre adresse de connexion et rediriger les internautes vers votre page d’accueil lorsque ceux-ci essayent de se connecter via les urls classiques.

Limiter le nombre de connexions avec la même adresse IP

Après avoir modifié votre page de connexion, il est nécessaire de limiter les tentatives de connexion d’un hacker qui aurait tout de même trouvé votre URL de connexion. Pour cela, installez le plug in Limit Login Attempts Reloaded.

Modifier le préfixe de vos tables WordPress

Renommer le préfixe des tables de votre base de données limite les tentatives de piratage. Lors de la création de votre site chez votre hébergeur, vos tables doivent avoir pour préfixe wp_. Afin de se prémunir des attaques contre votre base mysql, changez ce préfixe avec l’extension WP Prefix Changer par exemple. Une fois le préfixe modifié, vous pouvez désinstaller cette extension. 

Installer un pare feu qui protège des requêtes d’URL malicieuses

Block Bad quieries est un plugin bloquant automatiquement des requêtes d’urls malicieuses. Aucune configuration n’est nécessaire, il suffit simplement de l’installer et de l’activer.

Eviter le SPAM avec Akismet

Si vous avez un blog et que vous autorisez la publication de commentaires, vous devez configurer le plugin Akistmet. Installé par défaut dans WordPress, il nécessite une clé API pour pouvoir fonctionner.

wordpress fonctionnement

Aller au-delà des extensions WordPress

Privilégier les mots de passes complexes

Même si vous pensez que votre site est insignifiant aux yeux du reste du monde et/ou que vous êtes totalement à l’abri du moindre problème, c’est faux. Un bon mot de passe pour chaque utilisateur est indispensable. Lettres en majuscules et minuscules, chiffres et caractères spéciaux doivent être présents dans votre password pour que celui-ci soit le plus compliqué possible. Que ce soit par une personne lambda ou par les robots. Par ailleurs, veillez à ne pas avoir comme identifiant admin ou root. Il est possible que votre hébergement web impose un nom d’utilisateur lors de l’installation WordPress. Vous pouvez alors corriger cette erreur en créant un nouvel utilisateur avec un identifiant et un password corrects puis en supprimant le profil de base.

Limiter le nombre de gestionnaires de votre site

Si beaucoup de profils utilisateurs sont existants sur votre site mais qu’ils ne servent pas ou plus, supprimez-les. Multiplier les combinaisons d’identifiants et de mots de passe augmente le risque d’usurpation des identifiants existants. Surtout si vous ne savez pas si tous les mots de passe sont complexes, vérifier l’utilité de chaque profil dans la section utilisateurs de votre tableau de bord.

Mettre en place un certificat SSL

Le certificat SSL, souvent délivré par votre hébergeur vous permet de passer votre site en https. (Il est par exemple mis en place automatiquement chez OVH).
Contrairement au http, le https correspond à un protocole de transfert hypertexte sécurisé. Il protège les données envoyées par l’utilisateur et permet le chiffrement de celles-ci. Par exemple, dans un formulaire ou lors d’un achat en ligne. Même si votre site n’est pas un e-commerce, il est aujourd’hui indispensable de mettre en place ce certificat car le protocole https a une incidence positive sur le SEO et sur le positionnement de votre site. Depuis juillet 2018, Google Chrome indique aux internautes si les sites web qu’ils consultent sont sécurisés ou non.

Plusieurs sites et noms de domaines

Si vous possédez plusieurs sites WordPress sur un même serveur web, redoublez de vigilance. Une fois un site hacké, tous les autres ont beaucoup plus de chance d’être victimes d’une intrusion dans le back office. La maintenance et les sauvegardes sont alors d’autant plus importantes.

SEO google

Sécuriser un site WordPress : quel impact sur le référencement naturel ?

Toutes ces manipulations ne sont pas directement liées au SEO et au positionnement de votre site. Cependant, si un site présente des risques pour l’internaute, les moteurs de recherche peuvent le désindexer de leurs résultats voire le bloquer s’il a été totalement hacké.

Le CMS WordPress est le plus utilisé au monde mais il est souvent vulnérable à des cyberattaques. Mettre en action un plan de sécurisation avec les plugins wp est une première chose à faire pour dormir sur vos deux oreilles. Ensuite, vous devez bien sûr configurer un système de sauvegarde comme Updraftplus (à automatiser !). Si vous ne souhaitez pas gérer vos backup, votre hébergeur peut proposer des offres supplémentaires de sauvegarde des fichiers de votre site ainsi que de votre base de données.
Si vous êtes en phase de développement de votre site Internet, vous pouvez installer un serveur local avec xampp. Ainsi, vous pourrez vous occuper de toutes ces étapes lors de l’achat de votre hébergement web et de l’installation de WordPress en ligne.
Enfin n’oubliez pas de mettre à jour régulièrement WordPress, le thème et les extensions que vous utilisez. Une faille de sécurité peut provenir d’un de ces trois éléments. Il est donc important de suivre les corrections effectuées.